一家专门帮别人找漏洞的公司,自己的代码仓库被人搬空了。Checkmarx这次丢的不是面子,是96GB的GitHub数据——而且攻击者用的是从别处偷来的钥匙开的门。

事件现场:三月的漏洞,四月的爆炸

打开网易新闻 查看精彩图片

事情要从3月23日说起。Checkmarx在调查后确认,攻击者当天潜入了他们的GitHub仓库,还顺手往里面塞了点"土特产"——恶意代码

打开网易新闻 查看精彩图片

但真正的爆点在4月22日才显现。攻击者发布了针对Checkmarx自家产品KICS的恶意Docker镜像、VSCode插件和Open VSX扩展。这些披着官方外衣的毒包,专门偷凭证、密钥、令牌和配置文件。

更讽刺的是KICS的定位:这是一款基础设施即代码(Infrastructure as Code)安全扫描工具,企业买它就是为了在代码里找漏洞。结果攻击者把恶意代码直接种进了扫描工具本身。

Checkmarx昨天更新声明时承认,LAPSUS$组织在勒索门户上公布的数据确实来自他们,源头就是3月23日那次入侵。

核心概念图:一次攻击如何串起三条链

这张图值得所有做安全的人贴在工位上。攻击路径不是单点突破,而是供应链的连环传导:

第一层:Trivy供应链攻击 → 偷下游用户凭证

第二层:用偷来的凭证 → 进入Checkmarx GitHub仓库

第三层:在KICS工具里投毒 → 感染更多下游开发者

Checkmarx把最初的入侵向量指向了Trivy供应链攻击,幕后黑手是一个叫TeamPCP的黑客组织。Trivy是Aqua Security开源的漏洞扫描器,在容器安全领域用得很广。攻击者在这里埋雷,收获的是一群安全意识相对较高的下游用户凭证——包括Checkmarx的。

这种"用安全工具攻击安全公司"的手法,堪称黑色幽默的行业注脚。

数据去哪了:暗网之外还有明网

Checkmarx和其他媒体报道都说数据上了暗网,但BleepingComputer发现LAPSUS$把这96GB的数据包也扔到了明网门户上。这意味着获取门槛大幅降低,不需要Tor浏览器,普通网络就能下载。

BleepingComputer没碰泄露数据的内容,但Checkmarx打包票说里面没有客户信息——因为他们的客户数据本来就不存在GitHub仓库里。

不过公司也留了后路:法医调查还在进行,如果真发现客户信息,会立即通知受影响的人。目前涉事的GitHub仓库已经锁死,调查结束前不开门。Checkmarx估计24小时内能放出更多细节。

打开网易新闻 查看精彩图片

为什么安全公司也会中招

这件事最扎心的地方在于:Checkmarx不是没能力的草台班子。他们是应用安全领域的老牌厂商,客户名单里不乏财富500强。但供应链攻击的可怕之处就在于——你的防线再厚,也防不住上游供应商的钥匙被偷。

TeamPCP选Trivy下手是经过计算的。开发者工具、开源扫描器、CI/CD流水线组件,这些环节的信任链条一旦断裂,后续每一环都会自动放行。Checkmarx的工程师大概每天都在教客户怎么防供应链攻击,结果自己成了案例教材。

LAPSUS$的作案风格也值得关注。这个组织擅长社会工程、供应链渗透和内部人员收买,之前对英伟达、三星、育碧的大案都有他们的身影。他们不搞加密勒索那一套,而是偷数据、公开羞辱、再勒索删除费。Checkmarx这次被挂到勒索门户上,符合其一贯的剧本。

开发者现在该检查什么

如果你用过KICS,或者团队里有人3月到4月期间从VSCode市场或Open VSX装过相关扩展,现在就该做几件事:

检查本地Docker镜像的哈希值,对照Checkmarx即将发布的官方清单。审查VSCode扩展的安装记录,特别是3月23日和4月22日前后的更新。轮换所有可能暴露的API密钥和访问令牌——假设最坏情况,总比事后补救强。

Checkmarx承诺的24小时更新窗口,建议设个闹钟盯着。供应链攻击的受害者往往不只是直接目标,还有无数间接使用者。

行业层面的连锁反应

这件事对安全行业的冲击还在发酵。Checkmarx的客户里有不少是金融机构和大型企业,他们买安全工具的核心诉求就是"把风险外包给专业的人"。现在专业的人自己漏了,信任模型需要重新校准。

更深层的问题是:当安全扫描工具本身成为攻击面,我们还能信任什么?KICS这类基础设施即代码扫描器,通常被部署在CI/CD流程的最前端,拥有读取大量代码和配置的权限。攻击者在这里投毒,相当于在流水线的源头下了药。

Checkmarx的应对也算教科书级别——快速确认、隔离仓库、承诺透明。但96GB的数据已经流出,损害控制的空间有限。法医调查的最终结论,将决定这场危机是"可控的供应链事件"还是"标志性的行业信任崩塌"。

TeamPCP和LAPSUS$的协作模式也值得跟踪。前者负责技术渗透,后者负责数据变现和公开羞辱,这种分工正在成为一种新范式。对防守方来说,这意味着攻击链的每个环节都可能由不同团队接力完成,溯源和响应的难度成倍增加。

Checkmarx估计24小时内会有新消息。但在那之前,所有依赖自动化安全工具的团队都该问自己一个问题:如果扫描器本身不可信,你的防线还剩几层?